关于查杀以及防范ARP病毒的紧急通告及工具下载

[发帖奇遇]: 开始懂了购买了一张同一首歌的门票，花去金钱12文理币.

[size=+2]关于查杀以及防范ARP病毒的紧急通告及工具下载

校园网各用户：     鉴于最近校园网上ARP病毒频繁爆发，对用户正常使用网络造成很大影响，为了保证校园网络的安全畅通，现将有关事项公告如下:     一、故障现象及原因分析     情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内所有主机发送ARP欺骗攻击，让原本流向正确网关的数据包改道流向病毒主机，从而造成受害者无法（通过病毒主机）上网。 由于病毒发作时向局域网内发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于 ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题 。 二、故障诊断 1.中毒者：     在PC机上检查此病毒的步骤为：    （1）在网上邻居图标上点击右键，选择属性    （2）在弹出的网络连接窗口内双击本地连接图标    （3）查看发送和收到的数据包，在没有开启需要大量发送数据包的服务的情况下，如果 发送的数据包为收到数据包的十倍甚至是几十倍，则本机内很可能已经感染ARP病毒。 2.受害者：     如果用户发现“故障现象”中提到的疑似情况，可以通过如下操作进行诊断： 点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复 正常，则说明此次掉线可能是受ARP欺骗所致。     注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行 后仍有可能再次遭受ARP攻击。 三、故障处理 1.中毒者：     由于病毒影响范围大，在发现中毒机器后，应立刻中止该病毒计算机上网并对病毒进行 彻底查杀。由于目前没有发现哪种杀毒软件能彻底清除ARP病毒，所以网络中心建议将机器格式化并重装系统，确保主机无病毒后再接入网络。 请所有用户下载并使用趋势科技ARP病毒专杀工具     使用方法：下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看 report文档便知是否中毒。运行完之后，请一定切记关闭此程序，以免影响他人。并且安装360ARP防火墙v2.0软件。     注意：查杀病毒只能避免电脑主机成为ARP攻击方，并不能抵御ARP攻击。 2. 受害者 (1) 检查网内感染“ ARP 欺骗”木马染毒的计算机     在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命 令： ipconfig     记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 172.16.18.1 ”。再 输入并执行以下命令： arp –a     在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址， 即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关 的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的MAC地址。   (2) 请使用AntiArp软件或者清华大学的ArpFix抵御arp攻击。     软件会在提示框内出现病毒主机的MAC地址。 (3) 除使用软件外，也可以用arp命令抵御ARP攻击： 　　先打开命令提示符窗口（方法如上），然后用“arp –a”命令查出默认网关和mac地 址 　　运行arp –a 命令后会得出类似如下列表 　　Internet Address Physical Address Type 　　172.16.18.1 00-e0-fc-22-ab-c2 dynamic 　　其中Internet Address就是默认网关，Physical Address就是mac地址 　　然后就用“arp -s 默认网关 mac地址”进行绑定 　　例如: arp –s 10.0.0.1 00-e0-fc-22-ab-c2 　　不过因为这重启机后是不起作用的，如需开机就自行绑定arp，则需利用bat处理文件 　　该bat文件写法如下: 　　 @echo off 　　 arp -d 　　 arp -s 网关IP地址 网关MAC地址 (如：arp –s 10.0.0.1 00-e0-fc-22-ab-c2) 　　然后再将该bat文件加入“启动”项，系统启动后会自动执行arp命令绑定网关。 四、重要提醒 1、要增强网络安全意识，培养良好的使用习惯； 　　由于校园网的速度优势，它更容易成为病毒传播的温床，也给攻击你的骇客带来便利。 　  尽量做到不轻易下载、使用不了解和存在安全隐患的软件；不随便打开来历不明的电子 邮件，尤其是邮件中的附件；特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号 的不明网站。对进行网上交易要特别慎重！不要随意浏览一些缺乏可信度的网站（网页）， 如一些游戏非法网站（网页），以免个人计算机受到木马 病毒的侵入给校园网的安全带来 隐患。 2、及时更新操作系统补丁、安装可靠的杀毒软件，并及时更新病毒库。 　  补丁就是操作系统的疫苗，很多病毒的感染和传播都不同程度的利用了操作系统的漏 洞，及时更新操作系统补丁往往是防范病毒最基础而且非常必要的一项工作，校内用户可以 到学校主页“Windows Update 自动更新”栏目中获取有关如何使用windows系统更新服务的相关信息；此外，还要定期更新防病毒软件病毒库，一个过期的杀毒软件仅仅比根本没有杀毒软件就好上那么一丁点。注意：目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。 五、管理措施 1、此类ARP攻击危害巨大，但由于攻击范围仅限某一网段而难以监控，请广大用户积极配合，及时将有关情况报告网络中心。一旦确认攻击源，无论无意中毒或有意攻击，我中心将对机主从严处置。 2、群防群治，实现长治久安 　　大家可能都普遍存在一种误解，以为有了杀毒软件就什么都正常了，其实不然，就目前 杀毒软件的功能上来看，还远远没有达到什么都可以查杀的地步，很多木马、流氓软件、恶 意代码、蠕虫程序等靠单一的杀毒软件是无法处理的。 　　校园网是公共服务设施，保障网络安全不仅是现代教育中心的工作，更是每位网络用户 应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。 点击下载：arp单机防火墙    360AntiArp     趋势科技ARP病毒专杀工具 西安文理学院网络信息中心 二〇〇八年十一月二十七日

顶！！！杀死你个小病毒！！

没用的···野火烧不尽啊！！

为了这个破ARP我们都伤心死了....现在5号楼全是ARP高手...聚生网管，P2Pover下的多了...防不胜防啊！！

支持3#
(yct (102):